Realización del análisis de evidencias
Enviado por Fabian Nieto • 11 de Mayo de 2019 • Trabajos • 2.103 Palabras (9 Páginas) • 162 Visitas
[pic 1]
Realización del análisis de evidencias
Contenido
SECCIÓN 1. OBJETIVO Y ALCANCE 3
1.1 Objetivo 3
1.2 Alcance 3
1.3 Limitantes 3
SECCIÓN 2. VISIÓN GENERAL 4
SECCIÓN 3. DESARROLLO 6
3.1 Análisis de datos volátiles 6
3.2 Análisis de datos no volátiles 10
SECCIÓN 4. CONCLUSIONES 13
Sección 1. Objetivo y alcance
1.1 Objetivo
Exponer los hallazgos identificados dentro del servidor Web perteneciente a Banco del Futuro, el cual estuvo involucrado en un incidente de seguridad por medio de una explotación de una vulnerabilidad (acceso no autorizado) y carga de un artefacto de tipo Backdoor, el cual fue materializado el día 4 de julio 2011. Asimismo se identificó la modificación de forma ilegítima del código del sitio web.
1.2 Alcance
Los resultados obtenidos a lo largo del presente reporte fueron obtenidos por medio del análisis e investigación realizada sobre las bitácoras y logs del servidor Web.
1.3 Limitantes
Los hallazgos mostrados a lo largo de este reporte quedan sujetos a la existencia y tiempos de retención de bitácoras y logs de eventos dentro del servidor Web afectado.
Sección 2. Visión general
¿Cuándo fue el sistema comprometido?
El día 4 de julio de 2011, el director de sistemas del banco observó que el servidor presentaba lentitud, por lo que lo reinicio en diversas ocasiones. Posterior al último reinicio, diversos usuarios del banco reportaron que en la página de inicio del servidor web tenía una leyenda “owned by ghuerta”, realizando una modificación no autorizada del contenido del sitio (Web Defacement, el cual consiste en unañ malformación ilegitima del contenido de un sitio web), al portal principal de Banco del Futuro. Por otro lado, siendo el presunto ciberactor el responsable de la intrusión al servidor web.
En primera instancia se confirmó la veracidad del incidente de seguridad mencionado, a través de cotejar que en efecto, la integridad del contenido del sitio web vulnerado había sido modificado, sustituyendo su contenido original por el mensaje “owned by ghuerta”, por lo que, como acción inmediata se pusieron en contacto las áreas involucradas del servicio afectado en materia de: Cómputo, Desarrollo del aplicativo Web y Seguridad de la Información, donde se determinó como medida de contención inicial dar de baja el dominio en cuestión. En consecuencia, el equipo de Ciberseguridad y respuesta a incidentes se dio a la tarea de realizar una investigación con más nivel de detalle sobre dicho acontecimiento, encontrando los siguientes hallazgos:
Se identificó que el incidente de seguridad materializado el día 4 de julio de 2011, presentó una serie considerable de acciones precedentes, que antecedían al suceso atestiguado y cuyo alcance e impacto excedían a lo detectado inicialmente. Es decir, adicional a lo presenciado por el Web Defacement, se pudo confirmar que el atacante buscaba dotarse de capacidades que le permitirían hacerse de un acceso no autorizado a través de la creación de una puerta trasera dentro del servidor afectado y de esta manera poder tomar control remoto del mismo.
El director de sistemas de Banco del Futuro contaba con un portal web para que los clientes realizaran sus transacciones de banca electrónica. Con el propósito de resolver las quejas de los usuarios del portal realizadas por medio de la mesa de ayuda, el banco ha creado un laboratorio con varias máquinas que simulan el ambiente de los usuarios al portal. Sin embargo, se identificó que estas máquinas no se encontraban protegidas por un Firewall, debido a que el departamento de sistemas mantiene esos equipos en un ambiente abierto para simular las configuraciones que pudieran tener las computadoras de los usuarios al portal.
Se presume que este fue el punto de entrada del atacante, para posteriormente realizar movimiento lateral hacia el servidor web que aloja el portal principal de Banco del Futuro.
Sección 3. Desarrollo
3.1 Análisis de datos volátiles
Por medio del análisis del volcado de la memoria RAM, se analizan las conexiones de red del servidor.
[pic 2]
Imagen 1. Conexiones observadas en el servidor
Se observa por medio del sitio http://port.tantalo.net/ los siguientes puertos que se encontraban abiertos en el servidor:
Tabla 1. Puertos abiertos en el servidor
Protocolo | Puerto | Descripción |
TCP | 80 | World Wide Web HTTP |
TCP | 135 | DCE endpoint solution |
TCP | 139 | NetBIOS Session Service |
TCP | 445 | MS-CIFS / SMB |
TCP | 49152-49157 | Puertos de conexiones temporales |
TCP | 31337 | Trojan cDc BackOrifice |
Puertos a los cuales se conectó el servidor web:
Tabla 2. Puertos a los que se conecto el servidor
Protocolo | Puerto | Descripción |
TCP | 2323 | 3d-nfsd |
TCP | 4444 | krb52 / nv-video |
TCP | 21 | File Transfer Protocol |
A continuación, se analizó la relación de los procesos y puertos a los que se conectó el servidor:
...